Windows 2003 - za ovaj sistem je jos davne 2015e prestao da izlazi update, sto znaci da je najverovatnije ovaj server pored neadekvatne zastite, verovatno vec i kompromitovan.
+ SQL server (prestali update-ovi ove god. u Jul-u) ciji je naziv: MEGAPISARNICA i vrlo verovatno sadrzi i neke osetljive podatke...

https://www.shodan.io/host/79.101.38.187

ista prica kao i sa trezorom https://rodnaravnopravnost.gov.rs/

Kompletan domen ide preko cloudflare-a, teoretski, svi podaci koji se razmenjuju preko tog sajta mogu da se presretnu i oslanjaju se na poverenje da provider (cloudflare) nece da ih presrece (njihovi zaposleni)
https://securitytrails.com/list/apex_dom...rch=trezor

Ekspozovan RDP i BAZA!
https://www.shodan.io/host/195.222.96.174
pretpostavljam da SEIO domen u prevodu: http://www.parlament.gov.rs/upload/docum..._letak.pdf (Serbian European Integration Office)

Listanjem shodana naidjem na potencijalno vrlo osetljiv sistem koji je ekspozovan online, a to je windows server sa nazivom "vodovod-server"!!
Nadam se da nije ono sto mislim da je, al` svakako vredno spomena i alrmatno ako jeste (posle kazu hakovali infrastrukturu - pa i ne hakovali je zbog ovakvih careva)...
No. u pitanju je IP 89.216.89.100
Koji pored sto je sam windows ekspozovan sa vitalnim servisima spolja, tu je i nakacen QNAP storage i uveliko torentuje na istom!
Tako da vise materijala ovde ima koji su veliko NO NO danas da budu ekspozovani spolja...

Takodje mozemo videti da je server pokupio sigurnosne update-ove, al` "odgovornih" admina nema da restartuju server kako bi se primenili..

Sto se tice torrenta, shodanov link otvorite s`vremenom na vreme i pojavice se, u poslednji scan-u koliko vidim bio je ugasen, ali dan pre, se video..

Jedan od ranijih pokusaja napada na RNIDS il dijela infrastrukture u Srbiji u Maju 2022.
Ne vidim nigdje da je napisano o ovom napadu ili bilo gdje drugo.

Pocetni tvit: https://twitter.com/xzoozanonymous/statu...4316786688

detalji: https://pastebin.com/wM919wtq

Quote:Poznata hakerska grupa LokBit tvrdi da je došla do finansijskih podataka grupacije koja rukovodi Big tržnim centrima u Srbiji i traži 150.000 dolara kako bi ih uništila, objavili su međunarodni sajtovi koji prate hakerske napade.

Iz BIG CEE Srbija do objavljivanja teksta nisu odgovorili na pitanja novinara BBC-ja na srpskom o istinitosti navoda o curenju podataka i korporativnim procedurama u ovakvim situacijama.

Na stranici LokBita (LockBit) na dark vebu navodi se da će ova grupa za sedam dana od trenutka napada objaviti sve prisvojene podatke ukoliko im se ne isplati novac.

Na sajtu hakerske grupe odbrojava i štoperica, koja prikazuje koliko vremena je preostalo grupaciji BIG CEE Srbija (BIG CEE Serbia) da uplati traženi iznos i spreči curenje podataka u javnost.

Takođe, navodi se da će dokumente proslediti bilo kome ko je voljan da im za tu uslugu plati 150.000 dolara.

Ovo je stara vest, 23. Septembar 2019, ali svakako zaslužuje pažnju jer na kraju niko nije preuzeo odgovornost za ovaj katastrofalan propust. I ne znamo posledice ovog napada.

Izvor: https://www.it-klinika.rs/blog/iscureli-...-iz-srbije
Arhivirano: https://archive.ph/65AKp

Pozdrav.

Prijavljujem sajt dzns.rs za koji sam saznao pre skoro mesec dana da je najverovatnije hakovan pa zarazen.
Uocio sam ovo prvi put u firmi gde je XDR resenje pocelo da rpijavljuje odlaske zapsolenih na ovaj sajt sa HIGH alarmom
Malware ID: JS/Inject.G4

https://www.virustotal.com/gui/domain/dzns.rs
https://urlquery.net/report/65bc504f-9db...d7314fb413

Jos jedan od mozda zanimljivih alata koji je radjen sa Florian Rothom (@cyb3rops na Twiteru) i par ljudi iz Microsoft Threat Inteligence tima. Moj contribution je bio dodatak powershella i parsovanje svih komandi koje idu preko njega radi detekcije i kasnije inkorporacija toga u Yara rulove.

Poenta ovog alata je da spreci bilo kakvu aktivnost ransomware-a, koji je dospeo u sistem korisnika recimo putem makroa u MS Word-u, tako sto interceptuje requestove u pozadini ka necemu sto ransomware uvek radi, a to je brisanje shadow copy-ja sa diska, i ubija parent proces. Vrlo je generic i lightweight. Tada je Emotet ransomware bio jako aktivan, gde se alat pokazao vrlo efikasan.

Zanimljivo je sto je sam alat nastao iz CVE-a https://attack.mitre.org/techniques/T1546/012/ i mogucnosti da se debugger na Windowsu zakaci na recimo vssadmin i wmic. Takodje, integrisan je i sa Windows Event Viewerom.

Alat je open-source i gradjen je javno pred svima i svako je mogao da ucestvuje. Power of the community

Link do projekta:
https://github.com/Neo23x0/Raccine